Июль Oracle Критическое Обновление Патча снабжает исправления для 113 уязвимостей через его портфель ПО, включая Java, MySQL и Базу данных Oracle.«В один момент, клиенты понятия не имели, что их Oracle, 12 развертывания было практически уязвимо», сообщил Шульман.Шульман сказал, что, согласно его точке зрения, скрывая подробные эти уязвимости, когда оно делается достоянием общественности, нехорошая практика.
Атакующие, возможно, смогли вернуть подробные эти уязвимости, сравнив исправленные и неисправленные версии Oracle 11, отметил он. Они имели возможность тогда генерировать эксплоитный код и легко протестировать его против Oracle 12.x развертывание, дабы выяснить, что это уязвимо кроме этого.
«Исправление критической уязвимости в одном продукте и отъезд неисправленного в другом больше года, разумеется, вызывающи большие сомнения», сообщил Росс Барретт, главный менеджер созданья безопасности в Rapid7, eWEEK. «Быть может, что в том месте смягчают факторы, такие как никакие отчеты об эксплуатации, которая разрешила им ощущать, что они имели возможность не спешить. Но в случае если так, что не был раскрыт сообществу безопасности в целом».«В большинстве случаев поставщики не объявляют о существовании уязвимости, пока они не создают патч», сообщил Шульман. «Но, в данном случае об уязвимости заявили, но для предположительно разной версии продукта».
Амичай Шульман, CTO Imperva, сообщил eWEEK что в его представлении, существуют кое-какие увлекательные вопросы, каковые необходимо задать вопрос о двух уязвимостях, каковые были ранее фиксированы для Базы данных Oracle 11 и сейчас фиксированы для Oracle 12. Один вопрос пребывает в том, знал ли Oracle об этих уязвимостях, в то время, когда продукт был отправлен, и в случае если так, поставщик обязан сделать клиентов, опытных о них?База данных Oracle взяла в общем итоге пять исправлений в июльском ЦП, включая CVE-2013-3751 и CVE-2013-3774, две уязвимости, каковые сейчас исправляются для базы данных Oracle 12.
Те две уязвимости были исправлены в июле 2013 для базы данных Oracle 11, тогда как базу данных Oracle 12 покинули неисправленной.Oracle выпустил собственный Критическое обновление патча (CPU) в июле 15 июля, обеспечив 113 исправлений безопасности, воздействующих на многократные приложения в его портфеле продуктов. Тогда как обновление совокупности защиты есть новым, пара уязвимостей, каковые Oracle фиксирует в его более новой базе данных Oracle 12, была фиксирована год назад в более ветхой базе данных Oracle 11.
Помимо этого, Промежуточное обеспечение Fusion Oracle обновляется с 29 новыми исправлениями безопасности, и EBusiness Suite Oracle приобретает пять новых исправлений безопасности в июльском ЦП. Технологии виртуализации Oracle включая Виртуальное Поле и Надёжный глобальный рабочий стол (SGD) Oracle обновляются с 15 новыми исправлениями безопасности.База данных тезки Oracle не есть единственной разработкой базы данных в портфеле продуктов компании.
Oracle кроме этого имеет базу данных MySQL с открытым исходным кодом, которая кроме этого делается исправленной в этом месяце для 10 уязвимостей совокупности обеспечения безопасности.«В некоем смысле не имеет значения количество, поскольку не вправду выполнимо исправить для одного из любого числа, выпущены; у Вас либо имеется тот патч со всеми ними, либо Вы не делаете», сообщил Барретт. «Уменьшение имело возможность бы колебанием, либо оно имело возможность бы отразить постепенное уменьшение во внимании и действие, связываемое с уязвимостями Java».Вторая позиция крупногабаритного электробытового товара в обновлениях безопасности совокупностей Oracle постоянно является Java.
Для июльского ЦП Oracle снабжает исправления для 20 уязвимостей совокупности обеспечения безопасности в Java, что есть более легкой загрузкой чем почти всегда. Барретт Rapid7 подчернул, что, наоборот, ЦП в апреле 2014 имел 37, и ЦП в январе 2014 имел 36 исправлений для уязвимостей Java.
Назад в феврале 2013, Oracle исправил Java для 50 уязвимостей совокупности обеспечения безопасности.Шон Майкл Кернер есть главным редактором eWEEK и InternetNews.com.
Следуйте за ним в Твиттере @TechJournalist.